ホームページセキュリティ対策完全ガイド【チェックからサイバー被害後の対処法を紹介】

      
ホームページセキュリティ対策

ホームページのセキュリティを脅かすサイバー攻撃は、年々増加傾向にあります。

サイバー攻撃は、大手企業のみに対してだけではなく、中小企業の脆弱性をついたものも多くなっているため、セキュリティ対策は必須といえるでしょう。

しかし、自社ホームページのセキュリティについて考える上で、

『代表的なサイバー攻撃について理解しておきたい』
『具体的なセキュリティ対策について知りたい』
『実際にサイバー攻撃被害に合った場合の対処方法について知りたい』

上記のようなお悩みが生じるかと思います。

本コラム記事では、企業の担当者様へ向けてホームページセキュリティの「必要性」「サイバー攻撃とその対策」「サイバー攻撃被害に合った場合の対処方法」について紹介しています。

目次

ホームページのセキュリティ対策が必要な理由

なぜ企業ホームページにはセキュリティ対策が必要なのか、その理由を紹介していきます。

ホームページのセキュリティについて考える前にまずは、下記理由について理解しましょう。

  • 情報漏洩を防ぐため
  • ホームページダウンや改ざんを防ぐため
  • 情報漏洩の責任として賠償金を支払うケースが出てくるため

【理由①】情報漏洩を防ぐため

情報漏洩を防ぐためにもホームページのセキュリティ対策は必須です。

サイバー攻撃により、情報漏洩が起こると「ユーザー」「取引先」から信頼を失うことになるためです。

特に名前や連絡先、クレジットカード番号等の情報を扱う企業は、情報漏洩に注意する必要があります。

個人情報データをたくさん保有するホームページは、サイバー攻撃する側から見れば宝の山となるためです。

【理由②】ホームページダウンや改ざんを防ぐため

ホームページダウンや改ざんを防ぐためにもセキュリティ対策が必要です。

サイバー攻撃されることで、ホームページのコンテンツの改ざん、サーバー機能を停止する攻撃により、ホームページがダウンするケースも考えられます。

これらのサイバー攻撃に一番影響を受けるのは、ECサイトなどホームページ上での収益がメインとなる企業です。

ホームページのダウンや、コンテンツの改ざんがされてしまうと運用が難しくなるため、その期間は一切の収益が見込めなくなります。

【理由③】情報漏洩の責任として賠償金を支払うケースが出てくるため

サイバー攻撃により、ホームページからユーザーの個人情報が漏れた場合、賠償金をユーザーに対して支払う必要があります。

NPOの日本ネットワークセキュリティ協会が2018年に行った調査報告(※)によると、個人情報漏えいによる一人あたりの平均損害賠償額は2万9,768円だそうです。

※参考:2018年 情報セキュリティインシデントに関する調査報告書

中小企業はセキュリティ対策に弱いため狙われやすい

サイバー攻撃は大企業のみが狙われる訳ではありません。

これは、中小企業がホームページのセキュリティ対策を怠っているのが原因といわれています。

サイバー攻撃による被害が世間で話題になっていても、中小企業の多くはホームページセキュリティ対策を一切していません。

こういった中小企業の多くが、サイバー犯罪者に狙われているということです。

個人情報の漏えいは罰則が課されることも

個人情報の漏えいは罰則が課される場合があるので注意が必要です。

2020年6月に国会で「個人情報保護法の改正」が可決・成立しました。

今回の改正で、ほぼ全ての企業が個人情報保護法の対象になりました。

不正アクセスにより個人情報が外部に漏えいし、個人情報保護委員会や被害者に個人情報の漏えいがあった報告を怠った場合、違反となり企業に対して最大1億円の罰則が課されることになります。

今回、改正された個人情報保護法の内容は2022年春から施行されますが、法定刑の引上げは2020年12月12日から開始されています。

以上ことから、ほとんどの企業はセキュリティ強化が求められます。

サイバー攻撃の事例紹介

実際に起きたサーバー攻撃の事例を3つ紹介します。

下記事例を参考にホームページセキュリティ対策の必要性を再認識しましょう。

※以下の事例は情報処理推進機構(IPA)が公開している「サイバー攻撃による被害事例の一覧」の情報を参照しています

【事例①】サーバーへの不正アクセスにより894名分の個人情報が漏えい

2014年に非預金信用機関の会員専用サーバーに対する脆弱性を突いた不正アクセスが行われた被害がありました。

この不正アクセスによって、会員894名のクレジットカード番号、氏名、生年月日、住所、電話番号、メールアドレス、クレジットカードの有効期限、ユーザーID、入会年月、口座情報、が不正に閲覧されたとしています。

【事例②】DDoS攻撃によりDNSサーバーに閲覧・障害が発生

2014年に電気通信会社が提供する光ファイバーサービスのDNSサーバーに許容以上の負荷が発生し、同サービス利用者において名前解決ができなくなることによる閲覧遅延や障害等が発生した被害がありました。

原因は不特定な第三者によるDDoS攻撃でした。

約1か月と少しの期間の間に継続的なDDoS攻撃があり、その都度改善を行い、その後完全復旧したそうです。

【事例③】パスワードリスト攻撃により、682件の不正ログイン発生

2013年に化粧品会社の会員制Webサーバーを対象に、海外からパスワードリスト攻撃とみられる約24万件の不正アクセスがあり、そのうち682件で不正なログインが確認されました。

尚、なりすまし等の購入被害は発生していかったそうです。

代表的なサイバー攻撃一覧

続いて、代表的なサイバー攻撃について紹介します。

下記サイバー攻撃について理解した上で、セキュリティ対策を実施するようにしましょう。

脆弱性を狙うサイバー攻撃

脆弱性とは、ホームページにおける不具合などを指します。

脆弱性はセキュリティホールとも呼ばれますが、この不具合や欠陥を狙った攻撃は脆弱性を狙うサイバー攻撃に分類されます。

具体的な脆弱性を狙うサイバー攻撃例は下記の通りです。

バッファオーバーフロー

バッファオーバーフローは、コンピュータの許容範囲を超えるようなデータを送りつけて、誤作動を起こさせるサイバー攻撃です。

また、この攻撃の目的は誤作動を起こさせることではなく、その間に乗っ取りを行うことです。

さらに乗っ取ったコンピュータから、別のコンピュータに対してサイバー攻撃を行うといった悪質な手口もバッファオーバーフローの特徴となっています。

SQLインジェクション

SQLインジェクションは、データベースを操作するための不正なSQLをホームページに注入するサイバー攻撃です。

この攻撃によって、本来外部からは見えないデータ漏洩、ホームページコンテンツの改ざんなどが発生するリスクがあります。

ディレクトリトラバーサル

ディレクトリトラバーサルは、ディレクトリやファイル位置をプログラムに表示させて不正アクセスを行うサイバー攻撃です。

ディレクトリトラバーサルの攻撃を受けると「情報漏洩」「ホームページの改ざん」「システムの乗っ取り」などの被害が発生する可能性があります。

クロスサイトスクリプティング

クロスサイトスクリプティングは、脆弱性のあるホームページ上に罠を仕掛けるサイバー攻撃です。

ユーザーが罠の仕掛けられたリンクをクリックすることで、スクリプトが実行されます。

スクリプトが実行した状態で指定のホームページへ移動すると偽サイトに誘導され、そこで個人情報を入力することで情報漏洩等の被害が発生します。

DDoS攻撃

DDoS攻撃は、企業サーバーに対して許容できない量のリクエストを送り付けて、処理能力を低下させホームページを正常に機能させない攻撃です。

この攻撃は1台のコンピュータからではなく、サイバー攻撃によって乗っ取られた複数のコンピュータから攻撃するのが特徴となっています。

具体的なDDoS攻撃例は下記の通りです。

UDPフラッド、Pingフラッド攻撃

UDPフラッド、Pingフラッド攻撃は、大量のトラフィックを送り付け、ネットワーク回線を混乱させて、通信障害を発生させるサイバー攻撃です。

この攻撃により、サービス一時停止に追い込む現象が発生します。

SYNフラッド、HTTPフラッド攻撃

SYNフラッド、HTTPフラッド攻撃は、偽造IPから大量の接続要求を送りつける攻撃です。

大量の処理作業が発生することでスローダウンが発生し、その隙をついて不正アクセスを仕掛けられます。

いわば、脆弱性がないホームページに対して、無理やり脆弱性を発生させる攻撃といえます。

リフレクション攻撃

リフレクション攻撃は、直接相手に対して攻撃するのではなく、DNSサーバーを経由する攻撃となるため、攻撃元の特定が難しいのが特徴です。

不正アクセス

不正アクセスとは、アクセス権限のないユーザーが権限を入手し、システム内部に侵入する攻撃です。

不正アクセスを受けると「情報漏洩」「システムダウン」「コンテンツの改ざん」等が行われ、次のサイバー攻撃の踏み台として利用されることもあります。

具体的な不正アクセス例は下記の通りです。

パスワードリスト攻撃

パスワードリスト攻撃とは、ユーザーが使い回したIDとパスワードを入手し、正規ルートで不正アクセスを行う攻撃です。

なりすましの攻撃となるため、不正なのかの判断が非常に困難である特徴があります。

この攻撃により「情報漏洩」「不正送金」等の被害が発生します。

ブルートフォース攻撃

ブルートフォース攻撃とは、全てのパターンのパスワードを試してログインを試みる攻撃です。

この作業は、プログラムされたコンピュータが行うことが多く、パスワードが英字のみ4桁だった場合は「約3秒」で解析され不正にログインされてしまいます。

リバースブルートフォース攻撃

リバースブルートフォース攻撃は、IDを複数変えてログインを試みる不正アクセスです。

ブルートフォース同様、プログラムされたコンピュータが使われるのが一般的となっています。

サイバー攻撃を防ぐためのセキュリティ対策方法とは

さまざまなサイバー攻撃を紹介しましたが、サイバー攻撃を完全に防ぐには攻撃ごとの対策をしていく必要があります。

ホームページのセキュリティ対策と一口にいっても「ホームページ」「Webサーバー」「ネットワーク」別に対策をしていく必要があるということです。

具体的なホームページセキュリティ対策についてみていきましょう。

ホームページのセキュリティ対策方法

ホームページのセキュリティ対策方法について紹介します。

こちらのセキュリティ対策はすぐに実行できるものなので、まだ対策ができていない場合は早急に対応するようにしましょう。

パスワードの管理

ホームページ運用では「ホームページ管理画面」「レンタルサーバー管理画面」などパスワードを利用する機会も多いですが、こちらで使用するパスワード管理は徹底しましょう。

パスワードリスト攻撃を受けた場合、連番や企業名等が入ったものは、すぐに不正ログインされてしまいます。

また、パスワードの使い回しも危険です。

Excelやテキストエディタ上でパスワード管理する場合は、ファイル名を見ただけでパスワードが記載されているのが分かるような名前を付けるのは控えましょう。

さらに管理を徹底するのであれば「1Password」のような有料のパスワード管理ソフトの活用がおすすめです。

共有設定の見直し

ホームページセキュリティ対策として、共有設定の見直しも必要です。

クラウド型のホームページ作成サービス等を利用している方は、見直しを実施しましょう。

例えば「社員が退社した後の共有設定」や「契約が切れた外注先の共有設定」が当てはまります。

すでに自社と関りのない共有設定から、情報が洩れるケースも十分にあるので共有設定について一度見直しする必要があります。

Webサーバーのセキュリティ対策

Webサーバーに対してもセキュリティ対策を実施しておく必要があります。

サイバー攻撃は、ホームページに対してだけではなく、サーバーも標的となるためです。

具体的なセキュリティ対策は下記の通りです。

最新版のサーバーを利用する

サーバーのセキュリティ対策としては、常に最新版を利用する必要があります。

自社でレンタルサーバーを利用している場合は、常に最新状態を保ってくれていますが、管理画面からスペックを定期的に確認するようにしましょう。

レンタルサーバーで有名の「エックスサーバー」「ロリポップ」等であれば安全ですが、格安レンタルサーバー等の場合は注意が必要です。

また、自社でサーバーを用意している方は、サーバーのソフトウェアバージョンを確認し、最新版をインストールすることで、サーバーへ対してのサイバー攻撃を防ぐことができます。

不要なアカウントは消去する

不要なアカウントやアプリケーションがある場合は、消去するようにしましょう。

これらがサーバーの負担となっている場合もあり、サイバー攻撃の対象となるためです。

サーバーに対して許容以上のデータ等を送りつけるサイバー攻撃対策のためにも、常にサーバー処理速度を上げておくセキュリティ対策が必要になります。

ネットワークのセキュリティ対策

サイバー攻撃への対策として、ネットワークセキュリティ対策も実施する必要があります。

ネットワークセキュリティ対策とは、ネットワークが安全に稼働できるようにネットワーク内部と外部から対策することです。

内部とは、主に社内のみで関係するプライベートネットワークが該当し、外部とはECサイトなどの外部にも公開している商用サービスが該当します。

ネットワークセキュリティ対策とは、これらのネットワークが汚染されないように対策することです。

ファイアウォールを利用

ネットワークのセキュリティ対策の代表的なのが、ファイアウォールの活用です。

ファイアウォールとは、内部や外部のネットワークに潜入を試みるアクセスを監視・遮断する機能です。

Windows等であれば、はじめからファイアウォールが備わっていますが、専用ソフトをインストールして実装することも可能です。

ファイアウォールの基本的な設定は下記3点を実施します。

  1. 使用しないポートを塞ぎ、最低限のポートのみを使用する
  2. アプリケーションごとに外部との通信許可をする
  3. ポート番号の割り振りを実施する

常時SSL化

ネットワークセキュリティ対策として常時SSL化も有効です。

常時SSL化とは、ホームページ全体を通信の暗号化する対策で、簡単にいうとホームページのURLを「http」→「https」に変更することです。

ホームページのURLが「http」の場合、第三者により、通信データの盗聴・改ざんが行われるリスクが高くなります。

常時SSL化の基本的な流れは下記の通りです。

  1. 自社サーバーを確認しCSR(証明書署名要求)の作成
  2. サーバー証明書の申し込みを行う
  3. 認証手続き後サーバー証明書をインストール

常時SSL化の手順はサーバーによって異なるので、まずは自社が利用しているサーバー情報の確認から始めましょう。

WAFを利用する

WAFを利用するのもネットワークセキュリティ対策として有効です。

WAFとは「Web Application Firewall」の略でWebアプリケーションに特化した対策で 「クロスサイトスクリプティング」「SQLインジェクション」等のサイバー攻撃を防ぐことが可能です。

これらの攻撃は通常のファイアウォールでは防ぐことができないので「WAF」と「ファイアウォール」を合わせて対策する必要があります。

WAFを利用する場合は、有料ソフトを導入する必要があります。

WAFには主に「ソフトウェア型」「アプライアンス型」「クラウド型」と3つの種類があるので、自社に合ったものを選定しましょう。

WordPressのセキュリティ対策

WordPressのセキュリティ対策について紹介します。

WordPressは世界で最も多く利用されているCMSですが、サイバー攻撃を受けやすい一面をもっています。

WordPressはオープンソース型のCMSとなるため、脆弱性がはっきり第三者から見えてしまうためです。

そのため、WordPressにてホームページ作成を実施している企業は、必ず下記セキュリティ対策をするようにしましょう。

パスワードを複雑にする

WordPressのパスワードを複雑にすることもセキュリティ対策として有効です。

なりすまし不正アクセスを防ぐためにも、下記のようなパスワードは控えるようにしましょう。

  • 企業名や氏名が入ったもの
  • 数字のみ、英字のみなどシンプルなもの
  • ユーザーIDとパスワードが一緒
  • adminなど頻繁に使用されるもの

WordPressのパスワード変更は、管理画面の「メニュー」→「あなたのプロフィール」から変更可能です。

パスワード変更はすぐに変更できる対策なので、最初に取り組むべき対策といえます。

プラグインを最新にして不要なプラグインは削除

WordPressでは、プラグインを最新にして不要なプラグインは削除してください。

2019年頃から、WordPressのプラグインへのサイバー攻撃が大量に発生しています。

このサイバー攻撃を受けると、ホームページへ訪問しても偽サイトに転送されるといった障害が発生する可能性があります。

過去にサイバー攻撃で狙われたプラグインは「Yuzo Related Posts」というものでしたが、WordPressに導入しているプラグインが多いほどリスクが高くなるので、不要なプラグインに関しては削除し、常にプラグインは最新版にしておきましょう。

ログイン画面のURLを変更

ログイン画面のURLを変更するのもセキュリティ対策として有効です。

デフォルトだとWordPressのログインURLは「ドメイン名/wp-login.php」と決まっているので、簡単に外部からログインURLにアクセスされてしまいます。

ログインURLにアクセスされると、ブルートフォースアタックによるサイバー攻撃をされ、不正アクセスされてしまいます。

これを防ぐためにも、WordPressのログインURLを変更しておく必要があるということです。

簡単にログインURLを変更するのであれば「WPS Hide Login」というプラグインがおすすめです。

プラグイン導入なしでログインURLを変更する方法

中には、セキュリティ対策のためにプラグイン導入なしでログインURLを変更したいという方もいるでしょう。

プラグインを導入しない場合は、自身で「.htaccess」にコード記載することでURL変更が可能です。

まず、下記コードの編集を行います。

RewriteRule ^enter/?$ /wp-login.php?任意のキーワード [R,L]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^dashboard/?$ /wp-login.php?任意のキーワード&redirect_to=/wp-admin/ [R,L]
RewriteRule ^dashboard/?$ /wp-admin/?任意のキーワード [R,L]
RewriteRule ^register/?$ /wp-login.php?任意のキーワード&action=register [R,L]
RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php
RewriteCond %{HTTP_REFERER} !^(.*)自社ドメイン/wp-admin
RewriteCond %{HTTP_REFERER} !^(.*)自社ドメイン/wp-login\.php
RewriteCond %{HTTP_REFERER} !^(.*)自社ドメインenter
RewriteCond %{HTTP_REFERER} !^(.*)自社ドメイン/dashboard
RewriteCond %{HTTP_REFERER} !^(.*)自社ドメイン/register
RewriteCond %{QUERY_STRING} !^任意のキーワード
RewriteCond %{QUERY_STRING} !^action=logout
RewriteCond %{QUERY_STRING} !^action=rp
RewriteCond %{QUERY_STRING} !^action=register
RewriteCond %{QUERY_STRING} !^action=postpass
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^.*wp-admin/?|^.*wp-login\.php /not_found [R,L]
RewriteCond %{QUERY_STRING} ^loggedout=true
RewriteRule ^.*$ /wp-login.php?任意のキーワード [R,L]

▼スマホの場合は横にスクロールしてご覧ください

コード 詳細
任意のキーワード URLに追加したいキーワードを入力 ABC
自社ドメイン ドメインを記入 https://test.co.jp

上記の表に従ってコード編集すると、ログインURLを「https://test.co.jp/wp-login.php?abc 」へ変更できます。

任意のキーワードを含めたURLへ変更が可能となるので、ログイン画面を予測されることを防ぐことが可能です。

ログイン失敗回数の制限を設定

WordPressログインの失敗回数制限を設定するのも有効なセキュリティ対策です。

ブルートフォースアタックでは、何万通りものパスワードを試みるので、ログインに失敗した際に一定時間ログインできないように対策するのが有効となります。

ログインの失敗回数を制限する方法としては「SiteGurad WP Plugin」というプラグインを導入し有効化するだけで、3回連続ログインに失敗すると1分のロック制限が可能です。

ログインに画像認証を追加

WordPressのログイン画面に画像認証を追加するのも有効なセキュリティ対策です。

画像認証を追加するだけで、コンピュータによる、なりすましログインを防ぐことが可能です。

画像認証を追加するには、ログイン回数制限と同様で「SiteGurad WP Plugin」のプラグインを導入し、有効化します。

メニュー画面から画像認証の種類も変更できるようになっています。

社員ごとにユーザー権限の付与をする

社内で多くの社員がWordPressにてホームページ管理している場合は、利用する社員ごとにユーザーID付与をするようにしましょう。

1つのIDで、色々な方がログインすると管理がずさんとなるためです。

WordPressでユーザーを追加するのは管理画面から「ユーザー」→「新規追加」を選択することで付与が可能です。

また、WordPressではユーザーごとの権限を下記内容から選ぶことができます。

▼スマホの場合は横にスクロールしてご覧ください

権限種類 詳細
管理者 全ての操作可能
編集者 コンテンツ関係に操作が可能
投稿者 記事投稿や編集、公開のみ可能
寄稿者 記事下書きと編集のみ可能
購読者 閲覧のみ可能

例えば、記事投稿だけを行う社員には「投稿者」の権限を付与します。

最悪、このIDがなりすましによる不正アクセスを受けたとしても、記事の投稿までしかできないので、被害を最小限に抑えることができるということです。

WordPressで作成したことを公にしない

WordPressでホームページを作成したことを公にしないのも有効なセキュリティ対策です。

WordPressでホームページ作成したことが分かるだけで、サイバー攻撃の対象となるケースも考えられます。

特に気を付けたいのが、アイコン(ファビコン)です。

アイコンとは、ブラウザ上やブックマークリストに表示されるアイコンのことで、デフォルトではWordPressのロゴがアイコンとなっているので、すぐにWordPressで作成したホームページであることがバレます。

アイコン変更方法は、WordPress上で簡単に変更できます。

その他のセキュリティ対策

続いて、その他セキュリティ対策について紹介します。

Webサイトセキュリティ対策のガイドラインを確認する

独立行政法人の情報処理推進機構(IPA)では、企業ホームページのためのセキュリティ対策ガイドラインが公開されています。

このガイドラインは、ホームページを運営する企業向けに脆弱性対策の取り組みを促すために公開されているため、ガイドラインに沿ったセキュリティ対策を行うことで、サイバー攻撃を防ぐことが可能です。

このガイドラインでは下記7つの項目が用意されています。

  1. 現在のセキュリティ対策の把握
  2. 脆弱性をついた攻撃の理解
  3. ホームページ構造からセキュリティ対策を学ぶ
  4. セキュリティ対策の外部依頼
  5. セキュリティ対策担当者の必要性と作業範囲
  6. トラブルの対処方法
  7. 専門家への依頼

自社のセキュリティ対策が不安な方は、こちらからガイドラインを確認した上で、ホームページセキュリティ対策を実施するようにしましょう。

セキュリティチェックツールを使用する

セキュリティ対策を実装する前にセキュリティチェックツールを使用するのも有効です。

セキュリティチェックツールとは、サイバー攻撃をさまざまな観点から考察し、診断するツールです。

しかし、ツールにより診断する範囲や特徴がことなるので、自社の目的に合ったツールを選定する必要があります。

また、ツールだけではなくセキュリティの専門家へ依頼し、手動でチェックする方法もあります。

自社の目的と予算に合わせてセキュリティチェックを行うようにしましょう。

関連記事

目的別に紹介したセキュリティチェックツールについては、以下のコラム記事で解説中です。

ホームページセキュリティチェックツール16選【ツール選定方法も紹介】

サイバー攻撃の被害に合った場合の対処方法

最後に、万が一自社ホームページがサイバー攻撃の被害にあわないためにも、対処法を理解しておきましょう。

被害にあった場合は、焦らずに下記で紹介する対処方法を実践してください。

サイバー警察の犯罪相談窓口に相談する

1つ目は、サイバー警察の犯罪相談窓口に相談する方法です。

サイバー警察とは「不正アクセス」「電磁的記録対象犯罪」等を取り締まる電脳警察(サイバーポリス)です。

サイバー警察では、全国にあるサイバーフォースセンターから24時間体制でサイバー攻撃の調査を行っています。

サイバー攻撃被害に合った場合は、こちらの相談窓口から相談するか、警察相談専用の全国共通ダイアル「#9110」から相談しましょう。

サイバー犯罪調査専門の業者に相談

サイバー警察の場合「違法性が低い」といった理由で希望する対応をしてくれないケースがあります。

そういったときは、サイバー犯罪調査専門に扱うフォレンジック業者に相談することをおすすめします。

フォレンジック業者とは、サイバー攻撃を受けたコンピュータを分析し、法的な証拠を明らかにしてくれる業者です。

原因を明らかにすることで、責任の所在等に関わる証拠の裏付けとして活用することが可能です。

まとめ

ホームページセキュリティ対策について紹介しました。

今回のポイントは下記の通りです。

「情報漏洩防止」「改ざん防止」の理由からホームページセキュリティ対策は必須です。

特に中小企業はセキュリティ対策に弱いため狙われやすくなっています。

代表的なサイバー攻撃は下記の通りです。

  • 脆弱性を狙うサイバー攻撃
  • DDoS攻撃
  • 不正アクセス

セキュリティ対策としては「ホームページ」「サーバー」「ネットワーク」別の対策が必要です。

▼スマホの場合は横にスクロールしてご覧ください

項目 セキュリティ対策方法
ホームページ パスワードの管理
共有設定の見直し
Webサーバー 最新版のサーバーを利用する
不要なアカウントは消去する
ネットワーク ファイアウォールを利用
常時SSL化
WAFを利用する

WordPressの場合は、さらにセキュリティ対策に力を入れる必要があります。

具体的な対策は下記の通りです。

  • パスワードを複雑にする
  • プラグインを最新にして不要なプラグインは削除
  • ログイン画面のURLを変更
  • ログイン失敗回数の制限を設定
  • ログインに画像認証を追加
  • 社員ごとにユーザー権限の付与をする
  • WordPressで作成したことを公にしない

万が一、サイバー攻撃により被害を受けたら、サイバー警察の犯罪相談窓口に相談、あるいはサイバー犯罪調査専門の業者に相談するようにしましょう。

また、当サイト「ビズサイ」ではホームページ制作サービス(サブスクリプション)を提供しています。

ビズサイでは、ホームページの目的に合わせて3種類のプランを用意しており、お申込みから公開まで最短5営業日でホームページ制作ができます。

ビズサイの全プランでセキュリティ対策を施しているので、ご安心くださいませ(詳しいサービスはこちら)。

ホームページに関する記事
人気記事ランキング
インカムを付けている女性

まずは無料でご相談ください。

011-640-1122(受付時間9:00~17:30)

完全無料制作 2021年4月1日 受付開始!先着500件限定